コロナ対応をきっかけに
進化したセキュリティ環境
「コロナの影響によって在宅勤務制度が適用され、急遽VPN環境を拡充しました」とある製造業のA社のセキュリティ担当者A氏は語る。同社ではそれまでもVPNを導入していたが、それほど発生頻度が高くない在宅勤務に対応するために整備したレベルだった。感染防止対策のために在宅勤務が一気に広がったことで、それに対応するべくVPN環境も拡充されたという。
しかし、急拵えの対応だったためにセキュリティ面では不安も残された。「在宅勤務を行うために、通常業務で使っているパソコンを自宅に持ち帰ってもらいましたが、オフィスで使うことを前提にしていたためにハードディスクには暗号化対応がされていませんでした。盗難や紛失などによる情報漏洩のリスクは高まったと感じていました」と A氏。幸い大きなトラブルが発生することはなかったが、第一波が落ち着いたところで、ハードディスクの暗号化対応を行なった。
また、VPNによって本社のサーバにアクセスができるようになったことは別のリスクももたらした。本社のサーバからローカルなPCにファイルをダウンロードできるようにしたことで、こちらでも情報漏洩リスクが高まったのである。こうした変化を悪意のある攻撃者は見逃さない。彼らにとってはビジネスチャンスでもあるのだ。
A社もその標的になった。「実際に第一回の緊急事態宣言後には、フィッシングメールと迷惑メールが通常の2倍から3倍増えました。そこで急遽サンドボックス機能を持ったメールセキュリティを導入するとともに、全社員のメールのアーカイブを実施するなど、メールセキュリティを強化しました」とA氏は語る。皮肉にもコロナをきっかけにA社のセキュリティ対策が一気に進んだのである。今ではVDI環境の構築も検討中だという。
すでにVDI環境が構築されていた企業でも変化は起きている。2018年頃から働き方改革を推進し、VDI環境を構築してシンクライアントを導入していたB社では2019年にはテレワーク環境が整備されていた。セキュリティ担当のB氏は「コロナによって業務プロセスが大きく変わったことはありません。ただ、自宅からのアクセスする場合にはワンタイムパスワードを使用し、VPNでVDI環境にアクセスしてもらうようにしました」と話す。
セキュリティ対策が進んでいたB社では別の側面で変化が起きた。テレワークに対応するためにペーパーレス化が加速したのだ。これまでも3DCADを使って設計し、図面情報なども外部の協力会社と共有してきたが、業務上必要だったオリジナルの商標の添付などもペーパーレス化したことで、よりスピーディに対応できるようになった。
クラウドへのシフトで
セキュリティがより重要に
こうしたセキュリティ環境での“進化”は世界中で起きている。大手セキュリティベンダーであるソフォスが、アジア太平洋地域でのリサーチ業務およびコンサルティング業務に取り組むTech Research Asiaに委託して、定期的に調査して発表している「日本およびアジア太平洋地域におけるサイバーセキュリティの展望」というレポートでも、「セキュリティ成熟度」の向上という形で“進化”が確認されている。
2019年の調査では自社のセキュリティ成熟度が最適化されていると回答した企業はわずかに2%に過ぎなかった。しかし、2021年の調査では18%にまで増加しているのである。この数値の違いはこの2年間で多くの企業がセキュリティ体制の強化に向けて大きく前進したことを示している。
なぜ企業のセキュリティ問題の重要性に対する認識が高まったのか。このレポートでは3つの要因を推測している。1つ目は個人情報保護に関する法律の整備が進んだことによる法規制の要件への対応だ。侵害報告も義務化された。2つ目がコロナの影響。新型コロナウイルスの感染拡大によってリモートでの業務への移行が進んだことでセキュリティが見直された。そして3つ目がクラウドベースのテクノロジーが採用されていることだ。ITインフラのクラウド化であるPaaSやクラウドベースのサービスであるSaaSが急速に普及している。
ペーパーレス化が加速しているB社では、社内外のコミュニケーションを充実させるためにZoomが導入され、Teamsの導入も進められている。B氏は「当社のような製造業でも、物売りからサービスへとフォーカスがシフトしつつあります。それに伴い関係部署の密なコラボレーションが求められるようになり、従来のメールや電話では明らかにコミュニケーション不足になってきました」とその背景を語る。
業務アプリケーションでもクラウドシフトが進められている。SaaS系のパッケージが導入されるのと並行して会計システムが見直された。基幹系システムなど全てをデータセンターからクラウドに移行するという大きな改革が進められ、クラウド上のデータの移行と災害対策の仕組みが議論されている。
外部の協力会社との設計データの共有も進む。「設計者不足を補うために社外の協力会社と連携しています。そこで課題となっているのが3DCADの設計データをどう連携させ、どうやって安全に運用していくのかということです」とB氏は話す。
ITインフラの整備が遅れていたA社でもクラウドベースへのシフトが急速に進められている。A氏は「SaaSの導入と同時に、規約やルール、考え方、ポリシーなど全てを行なっている状態です。データセンターを利用していなかったので、オンプレミスからいきなりクラウドに移行し、急激にキャッチアップしている感じです」と慌ただしさを語る。
高度化するサイバー攻撃に
どう対応していくのか
ITインフラの変化によってセキュリティはどう変わるのか。 B氏は「協力会社とリモートを通して図面のなどの情報をやり取りすることが多くなっています。協力会社も含めてセキュリティを強化する必要があると感じていますが、具体的な対策ができていないのが現状です」と変化を指摘する。
テレワークというセキュリティ環境が十分でないところでパソコンを使用するということに対する配慮も必要になる。「貸出用のモバイルPCを準備して配布しています。そこでは今回導入したソフォスの次世代エンドポイントセキュリティのような仕組みが非常に重要だと考えています」とB氏はリモートワークならではの対策の重要性を強調する。
実際に多くの企業はこれまで悪意のある攻撃者からサイバー攻撃を受けてきた。その攻撃によってデータを損失したケースも多い。前述のレポートでは2021年の調査対象となった企業の68%が何らかの形でサイバー攻撃を受けたと回答し、そのうちの55%の企業がデータの損失を「非常に深刻」(24%)または「深刻」(31%)と回答している。この傾向は大企業も中堅中小企業も変わりはない。
日本企業に絞ってみても、42%が過去1年間にサイバー攻撃の被害があったと回答し、38%がセキュリティ侵害を「深刻」または「非常に深刻」だと回答している。諸外国に比べるとやや低い傾向にあるものの無視できる数字ではない。
しかもサイバー攻撃の頻度が増え、脅威の方法も多様化し、成功率は高まりつつある。そこに新型コロナに対応するためのテレワークへの移行という脆弱性を高める要因が加わっている。コロナ禍での企業活動の安全性を担保し、アフターコロナでの早期の業績回復を図るためにもセキュリティ対策は喫緊の課題である。
すぐにでも自社の現状を見直し、必要なセキュリティ対策を明確にして、速やかに取り組む必要がある。しかし、一方でセキュリティ人材は絶対的に不足している。そこでは外部のパートナー会社の活用も視野に入れて考えていくべきだろう。柔軟かつ迅速な対応が損失を防ぐ近道だと言える。
TOP
